#fines #privacy #GDPR

Где: Австрия
Кого: Österreichische Post AG
Штраф: 18млн EUR (1,2 млрд руб) - штраф не финальный, ожидается суд
Нарушение: Почта использовала адрес и возраст субъектов для определения принадлежности к политическим партиям, полученные предположения далее продавала. Также почта с целью маркетинга анализировала частоту переездов субъектов.
Источник: проверка регулятора
Статьи: 6, 9
Ссылки: EDPB, Reuters

Более детальная проработка законного интереса здесь: https://youtu.be/bIfgiBpMU2k

​​#events #непроprivacy

Мы то данные защищаем, частенько, а то и всегда наши взгляды с бизнесом расходятся. Можно «подсмотреть» на взгляды бизнеса сегодня.

Когда: 31 октября в 19:00
Где: Вебинар
Организатор: SkillFactory
Тема: Как данные приносят деньги бизнесу
Стоимость: бесплатно
Регистрация: здесь

#news #events #GDPR #privacy

Обзор конференции ICDPPC, которая имела место в Албании, можно почитать: здесь

​​#materials #GDPR #privacy

Майндкарта по правовым основаниям для обработки ПДн по GDPR. В ней собраны основные рекомендации и комментарии от надзорных органов.

От Андрея Прозорова

#materials #privacy #GDPR

Статья Paul M. Schwartz - Global Data Privacy

​​Пятничное

#materials #cybersecurity

Освежить свои знания по крипте, либо узнать что-то новое можно из статьи Виды шифрования и защита трафика

#news #privacy #fines

Англичане не растерялись и подали групповой иск от имени 4х млн пользователей iPhone на Google за то, что компания скрыто мониторила активность пользователей iPhone в Интернете в 2011-2012гг.

Сумму переводить в руб. не буду, там много фунтов: £1bn и £3bn.

Иск был передан в Media and Communications Court Лондона решением Hight Court.

В случае проигрыша Google появится прецедент по подготовке групповых исков против крупных корпораций, нарушивших требования з-ва по защите данных, в том числе против компаний, расположенных за пределами UK.

Источник: Stewarts

#materials #GDPR

Пять самых распространённых и очевидных ошибок по гдпр:

#1. A project approach - подход к гдпр комплаенсу, как к разовому проекту.
Решение: планировать и проводить регулярные мероприятия.

#2. Not measuring - не измерять эффективность внедрённых контролей.
Решение: KPI.

#3. Relying on consent - отдавать преимущество согласию как правовому основанию.
Решение: выбирать согласие только в крайнем случае.

#4. Focus on IT data - забывать про данные на бумажных носителях, к примеру, и связанных с этим процессах.
Решение: инвентаризация всех активов.

#5. Third party audits - ограничиваться только договорами, не проверяя самих поставщиков.
Решение: Supplier Security Management .

#fines #privacy

Где: Румыния
Кого: Artmark Holding SRL
Штраф: 10 000 lei (150 000руб)
Нарушение: оператор не доказал, что получил согласие субъекта на отправку рекламных сообщений по электронной почте.
Согласно закону запрещено проводить рекламные коммуникации с использованием средств связи (н-ер: телефон, почта, факс), не требующих участия человека, без согласия субъекта.

Вот получал один субъект такие письма, не соглашаясь на это, попросил оператора свои персданные из базы удалить... как это обычно и бывает, изменения не последовали. Субъект обратился в местный ркн, компанию оштрафовали.
Источник: жалоба субъекта
Статьи: Law no. 506/2004
Ссылки: EDPB

#fines #privacy #GDPR

Где: Польша
Кого: Гос орган
Штраф: 40 000 PLN (667 200руб) и срок устранения нарушений: 60 дней
Нарушение: Мэр города не заключил Personal data processing agreement (на наш лад: поручение а обработку ПДн) с организациями, которым передавал данные.
Одна компания хостила серверы с системами Public Information Bulletin
(BIP), другая компания разрабатывала софт для BIP.

В той же BIP были нарушены сроки хранения данных.

Не соблюдался принцип конфиденциальности и целостности: отсутствие резервирования данных, тк записи встреч с заседаний городского совета публиковались только на YouTube, а также риск-анализ не проводился, чтобы определить, можно ли вообще эти записи публиковать на YouTube.

В RoPA (реестр процессов обработки ПДн) отсутствовала информация о получателях ПДн, не была указана планируемая дата удаления данных для некоторых процессов.

«Штрафанули так штрафанули», тк оператор не исправил нарушения в ходе проверки и не взаимодействовал с надзорным органом.
Источник: проверка регулятора
Статьи: 28(3), 5(1)(a), 5(1)(f), 5(1)(e), 5(2)
Ссылки: EDPB

#fines #privacy #GDPR

Где: Румыния
Кого: INTELIGO MEDIA SA
Штраф: 9 000 EUR (639 000руб)
Нарушение: при создании нового аккаунта на сайте компании, появлялось окно следующего содержания: «I do not want to receive “Personal Update”, the information sent daily, free of charge, by email, by avocatnet.ro» без проставленной галки ✅

Таким образом, если пользователь забывал поставить галку, он подписывался на рассылку, тк адрес почты автоматически добавлялся в базу, т.е это «отсутствие волеизъявления».

Также оператор не смог доказать наличие согласий на обработку данных
🚻4357 пользователей.

Кроме того, оператор промахнулся с правовым основанием: для ежедневной передачи информации по электронной почте было выбрано «выполнение договора»🤔

Источник: проверка регулятора
Статьи: 5(1)(a)(b), 6(1)(a), 7
Ссылки: EDPB

​​#materials #privacy #GDPR

Разбор принципа accountability, здесь

​​#materials #GDPR #blockchain

Отчёт Blockchain and the GDPR

#materials #GDPR #ccpa

Инфографика GDPR vs CCPA от NetApp, здесь

#materials #gdpr #edpb

Обзор результатов конфы EDPB Data subjects rights

​​#events #cybersecurity

Когда: 07 ноября 2019
Где: вебинар
Тема: Identifying and managing cyber risk in a digital world – what you need to think about in 2020
Стоимость: бесплатно
Регистрация: здесь

​​#materials #databreach #claim #gdpr

Hight Court UK дал добро в октябре на подачу группового иска против British Airways
(об утечке писала ранее: поиск в канале по слову Airways).

У субъектов 15 месяцев на то, чтобы присоединиться к иску.

🚻380 000 банковских карт было скомпроментировано,
500 000 клиентов пострадало.

Отмечу, что по гдпр субъекты вправе требовать компенсации за причинённый ущерб (ст. 82), это помимо штрафов от регуляторов.

ITgov